1. 디플로이먼트 개념 기능적인 목적은 레플리카셋과 동일하지만, 추가적으로 파드에 대한 업데이트 기능이 존재(롤아웃, 롤백 등) 디플로이먼트는 레플리카셋을 핸들링하는 상위 기능으로, "디플로이먼트(레플리카셋(파드))" 형태로 캡슐화 된 뉘앙스 2. YAML을 활용한 디플로이먼트 생성 nginx 컨테이너로 구성된 디플로이먼트를 생성하기 위한 YAML 내용 apiVersion: apps/v1 kind: Deployment metadata: name: my-deployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - na..
1. 레플리카셋 개념 파드 실행의 연속성을 보장하기 위해 동일한 파드를 여러개로 묶어놓은 집합으로, 레플리카셋에 포함된 파드는 다운되어도 자동으로 재실행 파드에 트래픽이 증가해 일정 수준 이상이 될 경우 자동으로 새로운 파드가 복제되어 트래픽을 로드밸런싱 레플리카셋을 삭제할 경우 레플리카셋에 포함된 파드 모두 삭제 레플리카셋은 파드가 실행되는 개수에 대해서만 보장하고, 업데이트 기능을 제공하지 않기 때문에 디플로이먼트 활용을 권장 2. YAML을 활용한 레플리카셋 생성 nginx 컨테이너로 구성된 레플리카셋을 생성하기 위한 YAML 내용 apiVersion: apps/v1 kind: ReplicaSet metadata: name: test-ReplicaSet labels: app: my-ReplicaSe..
1. 파드 개념 컨테이너를 감싼 집합(덩어리)으로 K8s에서 배포할 수 있는 가장 작은 단위 하나의 파드 안에 단일 컨테이너 또는 다중 컨테이너 구성 가능 같은 파드안에 존재하는 컨테이너는 localhost로 서로 접근이 가능하고 스토리지를 공유 2. YAML을 활용한 파드 생성 쿠버네티스에서 활용되는 YAML 파일의 기본 구조 apiVersion: kind: metadata: spec: nginx를 이미지로 사용하는 컨테이너를 파드로 생성하기 위한 YAML apiVersion: v1 kind: Pod metadata: name: my-test-pod labels: purpose: test type: web spec: containers: - name: nginx-container image: nginx..
1. 클러스터 컴포넌트 구성 요소 쿠버네티스가 구성된 환경을 클러스터라고 부르며, 클러스터는 쿠버네티스가 동작하도록 하는 컴포넌트와 파드가 배포(실행)되는 노드로 이루어져 있음 일반적인 클러스터는 아래 그림처럼 구성 컴포넌트 구성 요소 노드 마스터 노드 워커 노드 마스터 노드 컴포넌트 API Server etcd Scheduler Controller manager 워커 노드 컴포넌트 kubelet kube-proxy Container Runtime 2. 마스터 노드 마스터 노드·마스터·control plane 등으로 호칭하며 쿠버네티스가 작동하는데 필요한 컴포넌트가 배포 및 실행되는 노드 마스터 노드에 장애가 발생하거나 다운될 경우 K8s 환경 전체에 장애가 발생하므로, Prod 환경에서 운영 시 마스터..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 다양한 서비스에 대한 백업 수행 및 백업 정책 적용을 중앙에서 관리할 수 있는 Backup 서비스를 설정하여 리소스에 대한 보호 필요 [주의] Backup 서비스는 백업이 저장되는 용량에 따라 요금이 발생하므로, 설정 전 백업 대상과 주기에 대해 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 AWS Backup을 설정하지 않은 경우 취약 AWS Backup을 설정한 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Backup] 검색 → [백업 계획] 메뉴 → Prod 환경에 대한 백업 계획 생성 여부 확인 4. 취약점 조치 방법 [백업 볼트] 메뉴 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 인프라가 AWS 모범 사례에 따라 구성됐는지 5개 측면(Cost Optimization, Performance, Security, Fault Tolerance, Service Limits)에서 검사하는 Trusted Advisor 서비스를 설정하여 실시간 검사 필요 [주의] Trusted Advisor 서비스는 스탠다드에 따라 요금이 상이하므로, 사용 전 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 Trusted Advisor 서비스를 설정하지 않은 경우 취약 Trusted Advisor 서비스를 설정한 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 EC2 인스턴스 및 ECR 이미지를 스캔하고 발견된 취약점을 리포팅하는 Inpector를 활용하여 정기적으로 취약점 점검 수행 필요 [주의] Inspector 서비스는 스캔되는 대상의 개수에 따라 요금이 발생하므로, 사용 전 스캔 대상과 범위에 대해 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 정기적으로 Inspector를 활용해 취약점 점검을 수행하지 않는 경우 취약 정기적으로 Inspector를 활용해 취약점 점검을 수행하는 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Inspector] 검색 [Dashboard] 및 [Findings] 메..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 버킷에 저장된 개인(신용)정보를 탐지하는 Macie 서비스를 활용해 중요 데이터 저장 관리 및 모니터링 필요 [주의] Amazon Macie 서비스는 스캔되는 버킷의 개수와 데이터 용량에 따라 요금이 발생하므로, 사용 전 스캔 대상 및 범위에 대해 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 주기적으로 Amazon Macie를 활용해 버킷에 저장된 개인(신용)정보를 탐지하지 않는 경우 취약 주기적으로 Amazon Macie를 활용해 버킷에 저장된 개인(신용)정보를 탐지하고 조치하는 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Macie] 검색 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 Config는 AWS 리소스에 대해 담당자가 정의한 기준(ex. EBS 암호화)을 충족하는지 지속적으로 모니터링하고 이를 벗어난 경우 알람해주는 서비스 내부 보안 정책에 따라 AWS 리소스의 보안 기준을 설정하고, Config를 활용하여 보안 기준 준수 여부 관리 필요 [주의] Config 설정 시 리소스 변경마다 Config가 실행되어 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 Config 규칙을 설정하지 않은 경우 취약 Config 규칙을 설정한 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Config] 검색 →..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 CloudTrail 추적을 통해 생성된 로그의 무결성을 검증하기 위해 로그 파일 검증 기능 활성화 필요 2. 취약점 판단 기준 CloudTrail 추적 로그 파일 검증을 비활성화 한 경우 취약 CloudTrail 추적 로그 파일 검증을 활성화 한 경우 취약하지 않음 3. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [CloudTrail] 검색 → [추적] 메뉴 → 원하는 추적 클릭 → [로그 파일 검증] 활성화 여부 확인 3. 취약점 확인 방법 - (2) AWS CLI에서 확인 CloudTrail 권한을 보유한 계정의 Access key를 활용해 AWS..
